您位於此處:
API (啟用 OAuth 設定):需要 Web 伺服器流程的密碼
此控制會要求用戶端應用程式在交換授權代碼以取得存取權杖以驗證用戶端身分期間,提供其密碼編碼強大的用戶端密碼。
控制名稱
連線的應用程式:API (啟用 OAuth 設定):需要 Web 伺服器流程的密碼
建議組態
需要 Web 伺服器流程的密碼。
控制概觀
此控制會要求用戶端應用程式在交換授權代碼以取得存取權杖以驗證用戶端身分期間,提供其密碼編碼強大的用戶端密碼。
未設定安全性風險
Web 伺服器流程 (授與授權代碼) 可能允許攔截暫存授權代碼的攻擊者成功將其交易為長期存取權杖,而無須證明他們控制授權後端伺服器。
威脅情況
敵對者會透過瀏覽器重新導向或記錄洩漏攔截授權代碼,並立即從其自己的基礎結構執行權杖交換,成功模擬合法應用程式以存取使用者的資料。
估計 CVSS 分數範圍
嚴重 (9.0–10.0)。
風險影響考量事項
未要求密碼可協助未經授權的工作階段建立和資料洩漏,有效地將暫時的一次性程式碼轉換為帳戶接管的永久性門戶。
風險愈高時機
當應用程式在共用伺服器上主控或使用自訂 URI 架構時,會增加惡意本機應用程式或網路 Proxy 攔截授權代碼的可能性。
低度風險時機
如果公司已實作 PKCE (Proof Key for Code Exchange) 作為補償控制,這會將次要動態驗證層新增至代碼交換流程。
業務與整合考量事項
如果第三方用戶端未正確設定為略過密碼交換,或如果用戶端程式碼沒有密碼的安全存取權,則啟用此需求可能會中斷現有的整合。
建議的補救措施
前往「設定」中的「連線的應用程式 OAuth 設定」,然後選取「需要 Web 伺服器流程的密碼」核取方塊。
安全性健康檢閱指南
「安全性健康審查」將此識別為基本「機密用戶端」需求,因此敏感 CRM 資料只會發佈給可保護其認證的已驗證伺服器端應用程式。
另請參照:
此文章是否解決您的問題?
請讓我們知道,以便我們改進!
